La memoria a largo plazo de ChatGPT se volvió en contra de sus propios usuarios
El comando malicioso seguirá activo hasta que lo detectes y elimines.
Una nueva vulnerabilidad en el navegador experimental ChatGPT Atlas, desarrollado por OpenAI, permite a los atacantes inyectar de forma furtiva instrucciones maliciosas en la memoria del asistente de inteligencia artificial y ejecutar código arbitrario en nombre de la víctima. Así lo advirtió el equipo de LayerX, especializado en seguridad de navegadores. El informe describe un método en el que la instrucción maliciosa se guarda no en la sesión del navegador, sino en la memoria a largo plazo del propio asistente de IA —un mecanismo presentado por primera vez en febrero de 2024 y diseñado para almacenar las preferencias personales del usuario entre chats.
El ataque comienza con ingeniería social: un usuario ya autenticado en ChatGPT accede a un enlace especialmente diseñado. La página cargada inicia una solicitud CSRF, aprovechando que la sesión está activa, y guarda una instrucción oculta en la memoria de ChatGPT. A partir de ese momento, cualquier petición posterior al asistente puede desencadenar la ejecución de código malicioso, incluidas acciones para escalar privilegios, la carga de scripts externos o la transmisión de datos. La memoria infectada se conserva entre sesiones y dispositivos, incluidos distintos navegadores, hasta que el usuario elimine manualmente la entrada correspondiente en la configuración.
Los desarrolladores de LayerX subrayan por separado que el ataque no afecta directamente a la sesión del navegador, sino que explota una característica de la propia memoria de ChatGPT, convirtiendo una función útil en un canal persistente de inyección de comandos. Según el jefe del departamento de investigación de la compañía, si la sustitución de recuerdos tiene éxito, las consultas habituales del usuario pueden activar la ejecución imperceptible de operaciones maliciosas, sin levantar sospechas y sorteando los mecanismos de defensa.
El problema se agrava porque Atlas estaba inicialmente poco protegido contra el phishing. En una prueba comparativa de navegadores sobre la resistencia frente a más de un centenar de vulnerabilidades reales y páginas maliciosas, Atlas resistió solo el 5,8% de los ataques, mientras que Edge detuvo el 53%, Chrome el 47% y Perplexity Comet alrededor del 7%. Un resultado tan bajo hace que Atlas sea especialmente vulnerable en entornos corporativos, donde los agentes de IA con mayor frecuencia se convierten en un vector de fuga de datos.
Anteriormente, la empresa NeuralTrust ya demostró otro método para comprometer Atlas mediante la suplantación de la URL en la barra de direcciones. Esto permitió engañar al asistente y colocar una instrucción maliciosa camuflada como una dirección segura. Según LayerX, estos ataques se están convirtiendo en un nuevo tipo de cadena de suministro en el mundo de la IA: las instrucciones implantadas una vez se desplazan junto con el usuario y afectan a los procesos de trabajo futuros.
En un contexto en el que los navegadores con funciones de IA se integran cada vez más en la infraestructura y forman parte de la actividad cotidiana, los especialistas instan a considerarlos como un elemento crítico de seguridad, al mismo nivel que los sistemas corporativos tradicionales. De lo contrario, la línea entre la automatización útil y el control externo encubierto podría desdibujarse de forma irreversible.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!